Searchtabs.io 带有持久化机制
Searchtabs.io 是假冒搜索引擎的 URL。在检查可疑网站时,我们的团队偶然发现了一个欺骗性网页,该网页使用露骨内容来诱骗用户下载安装设置。此特定设置包括一个浏览器劫持程序,该程序会促进 searchtabs.io 网站的使用。
虽然属于此类别的软件通常会更改浏览器设置以支持某些网站,但在我们的测试环境中,此设置不会对浏览器进行任何更改。值得注意的是,该劫持者采用了一种技术来确保其持久性,从而使用户很难重新获得对浏览器的控制权。
当我们在测试机上安装了提升 searchtabs.io 的设置后,我们发现它会影响新的浏览器选项卡和窗口。每当打开新选项卡或窗口时,它都会自动重定向到 searchtabs.io,每个重定向都具有随机搜索查询。
虚假搜索引擎之所以被贴上这样的标签,是因为它们通常无法提供合法的搜索结果,而是将用户重定向到知名的互联网搜索引擎,如 Bing、Google 或 Yahoo。当用户打开新选项卡或窗口或在 URL 栏中输入搜索查询时,浏览器劫持软件往往会触发重定向到非法搜索引擎。然而,如前所述,浏览器劫持者推广 searchtabs.io 的行为与常态不同。
此外,该软件采用了一种技术来确保其持久性。这些重定向是通过称为“UITheme.exe”的进程启动的。但是,仅终止此进程并不能消除重定向。浏览器劫持者利用 Microsoft 部署工具包中名为“ServiceUI”的工具,该工具可确保“UITheme.exe”重新启动,即使通过 Windows 任务管理器手动终止或在系统重新启动后也是如此。
恶意软件用来实现持久性的常用方法有哪些?
恶意软件通常采用各种技术来在受感染的系统上实现持久性。这些方法可确保恶意软件即使在系统重新启动或尝试删除后仍保持活动状态并可运行。以下是一些用于实现持久性的常用方法:
- 启动程序和服务:恶意软件可能会向系统启动程序或服务添加条目,确保其在每次系统启动时运行。
- 注册表项:恶意软件可以修改 Windows 注册表,以创建或修改在系统启动期间执行恶意软件的项和值。
- 计划任务:恶意软件可以创建按指定时间间隔运行的计划任务,从而使恶意软件能够在后台持续运行。
- 自动启动位置:恶意软件可能会将自身添加到自动启动位置,例如“开始”菜单中的“启动”文件夹或“所有用户”目录中的“启动”文件夹。
- 浏览器扩展和附加组件:基于浏览器的恶意软件(例如广告软件或浏览器劫持者)可以在网络浏览器中安装扩展或附加组件,以控制和操纵用户浏览。
- 服务创建:恶意软件可以创建新的 Windows 服务或操纵现有服务以确保其持续运行。
- DLL 注入:恶意软件可以将自身注入合法进程或将其动态链接库 (DLL) 加载到系统进程中,从而伪装其存在。
- 文件系统更改:恶意软件可能会创建隐藏或系统文件和文件夹来存储其组件或配置数据,从而使其难以检测。
- Bootkit 或 Rootkit 安装:高级恶意软件可以安装 bootkit 或 rootkit,这会损害启动过程或核心操作系统,使其极难检测和删除。
